Tout ce que vous devez savoir sur le RGPD pour les VSE, les PME et les associations

NON! Aucun secteur commercial ou industriel n’est exempté de se conformer au RGPD. Même si certaines professions disposent d’une éthique, d’un code de conduite, voire d’un secret professionnel, aucune n’échappe à l’obligation de se conformer au RGPD.

OUI! Même les très petites entreprises, même les entreprises d’une seule personne, doivent se mettre en ordre. En effet, elles gèrent les données personnelles des clients, des prospects, des employés et donc le RGPD s’applique pour protéger leur vie privée.

OUI! Même les associations, même les très petites, doivent se mettre en ordre. En effet, elles gèrent les données personnelles des membres, des contacts, des employés et donc le RGPD s’applique pour protéger leur vie privée.

OUI! Même les indépendants, même les micro-entrepreneurs, doivent se mettre en ordre. En effet, ils gèrent les données personnelles des clients, des prospects, des employés et donc le RGPD s’applique pour protéger la vie privée de ces personnes.

OUI! Le RGPD concerne tout traitement des données personnelles, même si tout est traité sur papier, ou s’il n’y a pas d’utilisation du site web ou même d’utilisation d’internet. Le simple fait de traiter des données personnelles dans le cadre de son activité est suffisant pour être soumis au RGPD.

Le RGPD vous oblige non seulement à vous conformer au RGPD, mais aussi et surtout à pouvoir le démontrer. Vous devez créer un dossier pour montrer tout ce que vous avez fait.

Votre dossier RGPD doit notamment détailler (1) ce que vous avez fait pour votre site internet, (2) les mesures de sécurité pour protéger les données personnelles, (3) les aspects liés aux ressources humaines, (4) comment vous gérez les droits des personnes dont vous détenez les données et (5) les pertes de données éventuelles,(6) les différents traitements de données que vous réalisez, (7) les relations que vous avez avec vos sous-traitants

Ce n’est pas essentiel. Des applications telles que GDPRfolder vous aident à remplir un dossier pour démontrer ce que vous avez fait pour vous conformer. Néanmoins, le soutien d’un avocat ou d'un consultant spécialisé en RGPD, ou d’un expert en sécurité de l'information peut vous aider si vous le souhaitez.

Il est recommandé de mettre sur chaque site un document d’information des visiteurs afin de leur expliquer quelle est votre politique de gestion des données personnelles. Tout comme il est important de mettre les mentions légales et une clause de non-responsabilité.

Pour qu’une personne s’abonne à votre newsletter, elle doit vous donner son adresse e-mail. Il est donc nécessaire de le faire approuver, de donner son consentement à votre politique de gestion des adresses e-mail dans le cadre de votre newsletter. Vous devrez demander aux personnes intéressées d’accepter votre politique de confidentialité et vous devrez conserver une preuve du consentement de ces personnes.

Si vous proposez un formulaire de contact sur votre site, la personne concernée doit savoir ce que vous allez faire de ses données. Il est donc nécessaire de lui proposer une politique de vie privée qu'elle doit approuver avant de vous envoyer sa demande de contact. Et vous devrez conserver la preuve du consentement de cette personne.

Non. Vous ne pouvez pas offrir une seule politique de gestion des données personnelles si vous proposez par exemple sur votre site une neswletter, des achats en ligne, un formulaire de contact ou d’offres d’emploi. Chacune de ces possibilités collecte et gère les données personnelles différemment.

Il est essentiel que les gens cochent une case qui montre qu’ils ont accepté et lu votre politique de confidentialité avant d’envoyer leurs données. Et si la personne ne clique pas sur la case, vous devez lui faire savoir que vous ne pouvez pas collecter de données si elle n’accepte pas votre politique de confidentialité.

Toute personne physique a le droit de demander à toute organisation qui collecte des données si elle possède des données à son sujet. Et vous avez 30 jours pour répondre.

Si vous avez répondu à une demande de droit d’accès et que la personne concernée considère qu’il y a des erreurs dans les données collectées, elle peut demander à les corriger. Si, par exemple, elle constate que sa date de naissance est erronée, elle peut demander qu’elle soit corrigée. 

Une personne peut demander à une organisation d’effacer les données qu’elle détient à son sujet. Mais il y a des exceptions. Si les données sont collectées pour des raisons fiscales par le ministère des Finances, il n’est pas possible de demander leur effacement car elles sont collectées par la loi. De même pour un site de commerce électronique, les obligations comptables et fiscales peuvent nécessiter la conservation des données même si le client souhaite les supprimer.

Il y a quelques précautions à prendre : 1/ il est nécessaire de vérifier si la personne qui exerce ses droits est bien la bonne personne et donc vous êtes obligé de vérifier son identité. 2/ Vous avez un mois pour lui répondre et il est donc important que vous ayez un inventaire de vos bases de données. 3/ vous devez bien sûr garder l’historique de la demande et votre réponse pour démontrer que vous avez répondu.

Le délai est d’un mois à compter de la réception de la demande et de la vérification de l’identité de la personne. Il existe certaines possibilités de prolonger le délai lorsque le travail est disproportionné. Si je demande à une grande institution toutes les données qui me concernent, elle peut me demander de préciser ma demande ou d’avoir deux mois supplémentaires

Le RGPD n’autorise la collecte de données que dans les cas où vous avez une base légale, qu’il s’agisse du consentement de la personne, d’un contrat, etc. Il n’y a que 6 bases juridiques qui sont expliquées ci-dessous

Vous pouvez traiter des données personnelles si la personne concernée vous a donné son consentement. Vous devez être en mesure de prouver que vous avez reçu ce consentement, soit sur papier, soit via une case à cocher sur un site. Attention: 1/ il n’y a pas de consentement implicite, le consentement doit être donné expressément et spécifiquement pour le traitement des données que vous proposez à la personne 2/ La personne concernée peut retirer son consentement à tout moment et sans justification

Cette base juridique est complexe et doit résulter de l’équilibre entre l’intérêt du responsable du traitement et le respect des données personnelles des personnes concernées. Un exemple est la possibilité de contacter d’anciens clients pour leur proposer des produits ou des services similaires.

Lorsque vous signez un contrat ou que vous êtes en négociation avant le contrat, vous pouvez traiter les données. Par exemple, dans le cadre d’un recrutement, vous collecterez un CV, des données d’entrevue, etc.

La loi peut autoriser le traitement des données. Par exemple, le ministère des Finances a l’obligation légale de traiter vos données fiscales. 

La loi peut confier une mission d’intérêt public soit à un acteur public, soit à un acteur privé. Il est impératif dans ce cas de se référer aux réglementations qui confient cette mission au responsable du traitement lors de l’information des personnes concernées.

Il s’agit d’un cas très limité, lorsque la vie de la personne est en danger, il est permis de collecter et de traiter des données sans consentement. 

Lorsque vous remarquez une perte ou un vol de données (cybercriminalité, perte d’un ordinateur portable, envoi par erreur d’informations confidentielles à la mauvaise personne, etc.), vous devez analyser les conséquences de ce fait.

OUI! Vous disposez d’un maximum de 72 heures pour prendre une décision qui dépendra de la gravité de l’incident. Vous avez trois réactions possibles : 1/ vous considérez que l’incident n’est pas grave et que vous ne faites rien (exemple un ordinateur portable perdu qui est retrouvé le lendemain) 2/ L’incident est grave et vous devez contacter l’autorité nationale de protection des données 3/ L’incident est très grave et peut avoir des conséquences pour les personnes concernées vous devez alors les avertir.

Si vous pensez que l’incident est grave, ou si vous avez des doutes sur sa gravité, vous devez contacter l’autorité nationale de protection des données dans les 72 heures. Il y a un formulaire de déclaration sur le site Web de cette autorité.

Seulement s’il y a des conséquences graves pour les personnes concernées, par exemple en cas de divulgation de données médicales. Dans ce cas, vous devez informer toutes les personnes concernées.

Non! Il est obligatoire de désigner un DPO pour les organismes du secteur public, pour les grandes organisations, pour ceux qui traitent une grande quantité de données. Pour les PME, les travailleurs indépendants, les ONG, les associations, il n’est pas obligatoire de nommer un DPO sauf silles traitent un grand nombre de données ou font partie du secteur public

Le DPO est indépendant de la direction, un peu comme un auditeur. Il a un rôle de conseil et de contrôle de la conformité au RGPD, il aide l’organisation à se conformer.

Non! C'est même interdit car celà créerait un conflit d’intérêts entre les décisions de la direction d’une part et l’obligation de se conformer au RGPD d’autre part. Aucun membre de la direction ne peut être DPO de son organisation.

Il y a des avantages et des inconvénients pour chaque type de DPO. Un DPO interne connaît bien l’entreprise mais aura moins d’expérience et est susceptible d’être influencé par ses collègues. Un DPO externe connaît moins bien l’entreprise, mais a plus d’expérience en tant que DPO et est plus indépendant de l’entreprise.

Il n'est pas obligatoire pour les organisations de moins de 250 employés, sauf si elles effectuent un traitement comportant des risques pour les personnes concernées ou concernant des données sensibles.

Le registre comprend la description du traitement, les données personnelles concernées, les mesures de sécurité, les finalités du traitement, sa base juridique, tout destinataire des données, etc. Toutes ces données vous permettront d’avoir une bonne vision du traitement que vous effectuez et de la manière dont vous respectez le RGPD.

OUI, même dans les cas où le registre n’est pas obligatoire, les autorités de protection des données conseillent de le compléter car il permet d’avoir une bonne vision du traitement des données effectué.

Le RGPD considère qu'un sous-traitant est une une organisation à laquelle vous confiez des données pour les traiter conformément à vos instructions. Par exemple, vous effectuez une campagne d’e-mail et vous confiez la liste de vos clients à un fournisseur pour gérer la campagne d'e-mails.

OUI! Vous êtes responsable du choix de vos sous-traitants et donc s’ils ne respectent pas le RGPD, vous pouvez être tenu responsable vis-à-vis des personnes concernées.

OUI! Le RGPD nécessite la signature d’un contrat spécifique contenant les droits et obligations du sous-traitant et en particulier son obligation de se conformer au RGPD.

Vous êtes également responsable du choix de votre sous-traitant non européen. Dans ce cas, des mesures de sécurité spécifiques doivent être prises parce que certains pays posent un problème, comme les États-Unis. Par exemple, Google Analytics a été déclaré contraire au RGPD et il est donc obligatoire de choisir une autre solution sous peine d’être tenu responsable et de risquer des sanctions.

De nombreuses personnes peuvent vous demander si vous respectez le RGPD: vos clients, vos fournisseurs, lors de l’appel d’offres et, bien sûr, les autorités de protection des données. Et n’oubliez pas que non seulement le RGPD vous oblige à vous y conformer, mais aussi à pouvoir le démontrer, d’où l’intérêt du dossier RGPD.

Des amendes importantes pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel. Mais n’oubliez pas l’atteinte à votre réputation lorsque l’on sait que vous ne respectez pas les données personnelles qui vous sont confiées

OUI! Même si l’on parle beaucoup des millions d’euros imposés à de grands groupes comme Google, de nombreuses amendes ont déjà été imposées aux PME, aux associations et même aux travailleurs indépendants. 

La CNIL est la Commission Informatique et Liberté qui est l’autorité française chargée du suivi du respect du RGPD et qui dispose de pouvoirs de contrôle et peut imposer des amendes. 

Le contrôleur européen de la protection des données se compose des 27 autorités nationales européennes de protection des données et du contrôleur européen des institutions européennes et a pour rôle principal d’émettre des recommandations concernant l’application du RGPD.

L’APD est l’autorité belge de protection des données

la CNPD est l’autorité de protection des données du Luxembourg

Une AIPD est une évaluation d’impact sur la protection des données (souvent appelée DPIA selon l'acronyme anglais). Il s’agit d’une analyse des risques qui doit être effectuée dans certains cas tels que le traitement de données sensibles en grand nombre.

L'European Data Protection Board est lé dénomination anglaise du CEPD